浏览器发送请求的时候不会自动带上token，而cookie在浏览器发送请求的时候会被自动带上
csrf（跨域伪造请求）就是利用这一特性，所以token可以防范csrf，而cookie不能
JWT本身只关心请求的安全性，并不关心token本身的安全